Kaspersky si aggiorna per mettere due ransomware nel mirino

malware Lazarus

Kaspersky ha deciso di aggiornare il proprio tool RakhniDecryptor in modo da contrastare Yatron e FortuneCrypt, due ransomware che criptano i dati degli utenti. Il tool aggiornato è disponibile sul sito Nomoreransom.org.
I ransomware costituiscono una pericolosa minaccia per utenti e aziende, e ogni giorno nuove versioni di malware vengono sviluppate dai criminali informatici al fine di truffare gli utenti. I criminali informatici bloccano l’accesso ai file di aziende e utenti privati per poi richiedere una cospicua somma di denaro in cambio del recupero delle informazioni.

Orkhan Mamedov, Security Expert di Kaspersky
Questi due programmi malevoli non sono stati distribuiti su vasta scala per cui non possiamo affermare che si tratti di sviluppi significativi nel panorama delle minacce ransomware. Tuttavia, la community di sicurezza informatica non può non prestare attenzione alle stringhe di ransomware di minor successo. L’obiettivo di uno sforzo congiunto nella lotta ai ransomware non riguarda solo il recupero dei file delle vittime, ma deve puntare a rendere il business dei ransomware il più difficile e costoso possibile per gli scammer. Più famiglie di ransomware sconfiggiamo, più sarà difficile per i criminali informatici ricavare dei proventi dalle loro azioni. I nuovi strumenti di decriptaggio che abbiamo rilasciato sono un contributo al raggiungimento di questo obiettivo e non saranno certamente gli ultimi.

Yatron e FortuneCrypt sono due esempi tipici di questo tipo di malware. Yatron è un ransomware-as-a-service e i suoi sviluppatori hanno pianificato di utilizzare i famigerati exploit Eternal Blue e DoublePulsar (programmi dannosi che utilizzano le vulnerabilità di software legali per distribuire altri software malevoli) come strumento di diffusione del malware. Il ransomware, quando cripta i file delle vittime, cambia la loro estensione in ‘.Yatron’. Kaspersky ha sviluppato uno strumento in grado di riconoscere questi file e riportarli al loro stato originario.

FortuneCrypt, la seconda versione del ransomware, risulta piuttosto insolita poiché è scritta con il compilatore BlitzMax basato su informazioni di pubblico dominio ed è un framework di programmazione sviluppato per coloro che sono coinvolti nelle prime fasi dello sviluppo di videogiochi. Entrambe le varianti del ransomware presentano delle criticità nel modo in cui trattano i file delle vittime e questo ha permesso a Kaspersky di trovare un metodo per rimediare ai danni causati dal malware.

Kaspersky raccomanda alle vittime di un attacco ransomware di:

-Non pagare il riscatto se il dispositivo è stato sbloccato. Pagare riscatti esorbitanti incoraggia i criminali informatici a continuare con la loro attività.

-Contattare le forze dell’ordine e denunciare l’attacco

-Cercare di scoprire il nome del Trojan ransomware. Questa informazione può aiutare gli esperti di sicurezza informatica a decifrare la minaccia e riottenere l’accesso ai file

-Fare un back-up dei file in modo che possano essere ripristinati in caso di attacco

-Mantenere aggiornate le soluzioni di sicurezza installando sempre le patch più recenti

I software di decifrataggio di Yatron e FortuneCrypt sono stati aggiunti allo strumento RakhniDecryptor di Kaspersky. È possibile fare il download dal sito web No More Ransom, un progetto sviluppato nel 2016 da Kaspersky, Polizia Nazionale olandese, Europol e McAfee. Il progetto coinvolge esperti di sicurezza informatica e forze dell’ordine con il fine comune di condividere soluzioni e fermare il dilagare dei malware.